65
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Conseil en technologies Id e n t it é numérique & AUTHENTIFICATION FORTE 25 février 2009 Sylvain Maret / MARET Consulting

Identité Numérique et Authentification Forte

Embed Size (px)

Citation preview

Page 1: Identité Numérique et Authentification Forte

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Conseil en technologies

Id e n t it é n u m é r iq u e&

AU TH EN TIF IC ATIO N FO R TE

25 février 2009Sylvain Maret / MARET Consulting

Page 2: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"

Page 3: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Agenda

Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies

OTP PKI Biométrie Autres

Les tendances 2009 Démonstrations

Page 4: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Identité numérique ?

Beaucoup de définitions

Page 5: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Un essai de définition…technique

Avatar

Bank

Mail / Achats

Social network

Monde réel

Monde virtuel

Lien technologique entre une identité réelle et une identité virtuelle

Page 6: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Identité numérique sur Internet

Identification

Page 7: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Identification et authentification ?

Identification Qui êtes vous ?

Authentification Prouvez le !

Page 8: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Facteurs pour l’authentification

ce que l'entité c o n n a î t (Mot de passe)

ce que l'entité d é t ie n t (Authentifieur)

ce que l'entité e s t o u f a it (Biométrie)

Page 9: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Définition de l’authentification forte

Page 10: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Authentification forte

Une des clés de voûte de la sécurisation du système d’information

Conviction forte de MARET Consulting

Page 11: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Protection de votre système d’information

Technologie authentification forte

Protocoles d’authentification

Données

Identiténumérique

Page 12: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Pyramide de l’authentification forte

Page 13: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Pourquoi l’authentification forte?

Page 14: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Keylogger: une réelle menace

6191 keyloggers recensés en 2008 contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %

Page 15: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Phishing - Pharming

Anti-Phishing Working Group recommande l’utilisation de

l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

Page 16: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

T-FA in an Internet Banking Environment

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les applications Web financière

Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

http://www.ffiec.gov/press/pr101205.htm

La France commence à suivre le mouvement Banque Populaire en 2009

Page 17: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour

l’authentification forte

The Strong Authentication Expert Group (SAEG)

Publication dès 2006 spécifications ID SAFE

Page 18: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Les premières réactions… !

Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité

PCI-DSS accélère le mouvement

Page 19: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

“Superior” user authentication

Page 20: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Dans le monde grand public

Page 21: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Les technologies d’authentification forte

Technologies en pleine mouvance

Technologie grand public

Technologies en pleine mouvances

Technologie grand public Technologie pour les entreprises

Tour d’horizon des solutions en 2009 (Non exhaustif)

Page 22: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

http://www.openauthentication.org/

Page 23: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Modèle OATH

Page 24: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Client Framework « Device » PhysiqueToken ou AuthentifieurTechnologies

Page 25: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Authentication Method

Authentication Method:

a function for authenticating users or devices, including

One-Time Password (OTP) algorithms

public key certificates (PKI)

Biometry

and other methods SMS Scratch List TAN Etc.

Page 26: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Authentification Token: définition

Composant Hardware ou Software « Authentifieur »

Implémente la ou les méthode(s) d’authentification

Réalise le mécanisme d’authentification en toute sécurité

Fournit un stockage sécurisé des « credentials » d’authentification

Page 28: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

One-Time Password (OTP)

Mot de passe à usage unique Basé sur le partage d’un secret

Généralement utilisation d’une fonction de hachage

Pour Très portable (pour le mode non connecté)

Contre Pas de signature Pas de chiffrement Peu évolutif Pas de !n o n r é p u d ia t io n

Page 29: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

« Authentifieur » OTP

Page 30: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Exemple: RSA SecurID

Page 31: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

PKI: Certificat numérique (X509)

Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response »

Pour Offre plus de services:

Authentification Signature Chiffrement – n o n r é p u d ia t io n

Contre Nécessite un moyen de transport sécurisé d e la c lép r iv é e

Pas vraiment portable

Page 33: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Le meilleur des deux mondes:

Technologie hybride: OTP & PKI

Page 34: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Technologie SMS (OOB)

Page 35: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Etude de cas: Skyguide

La sécurité alliée au login unique

Firewall Web application Web Single Sign On

Authentification forte via SMS

http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

Page 36: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

OTP «  Bingo Card »

9 2

AnyUser

******

Page 37: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Les tendances 2009

Page 38: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Token USB multi fonction

Page 39: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Le monde des portables

SIM-Based Authentication

GemXplore 'Xpresso Java Card SIMs from Gemplus

OTA (Over-The-Air) technology

Page 40: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Technologie OTA

http://www.gemplus.com/techno/ota/resources/white_paper.html

Page 41: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Trusted Platform Module [TPM]

https://www.trustedcomputinggroup.org/home

Exemple: Authentification forte d’un portable avec technologie VPN SSL

Page 42: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Multi Application Smart Card

Page 43: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Technologie Mifare

Contactless technology that is owned by Philips Electronics

De Facto Standard

Convergence IT Security and Building Security

Page 44: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

EMV - CAP

Europay Mastercard Visa Initiative de: Master Card Visa

Utilise la technologie CAP Chip Authentication Protocol

Authentification forte et signature des transactions

Page 45: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Risk Based Authentication

Page 46: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Internet Passport: OTP & Biométrie

Page 47: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Démonstration: OpenID & Axsionics

Page 48: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

OTP USB Yubico

OTP event Based

Pas de driver

Très simple d’usage

Simule un clavier

Page 49: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Démonstration: Yubico

Page 50: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

La biométrie

Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.

Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique

Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)

Page 51: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Définition d’une identité numérique ?

Future of Ide ntity in the Information S ocie ty

Lien technologique entre une identité réelle et une identité virtuelle

Page 52: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Le marché de la biométrie

Page 53: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Mesure des traits physiques

Empreintes digitales Géométrie de la main Les yeux

Iris Rétine

Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies

ADN, odeurs, oreille et « thermogram »

Page 54: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Mesure d’un comportement

Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe

Clavier

Page 55: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Une technologie très prometteuse

Vascular Pattern Recognition

By SONY

Page 56: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Confort vs fiabilité

Page 57: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Fonctionnement en trois phases

Page 58: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Stockage des données ?

Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité

Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card

Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

Page 59: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Equal Error Rate (EER)

Page 60: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Biométrie en terme de sécurité?

Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009)

Doit être couplé à un 2ème facteurs Carte à puce par exemple

Page 61: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Démonstration: Signature d’un email

Page 62: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Matsumoto's « Gummy Fingers »

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Page 63: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Questions ?

Page 64: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Quelques liens

http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/

Page 65: Identité Numérique et Authentification Forte

Conseil en technologieswww.maret-consulting.ch

Identité numérique